DJI Romo ロボット掃除機システムで重大なセキュリティ侵害が確認され、これにより、第三者が稼働中の数千台のセンサーにリモートからアクセスできるようになります。認証プロトコルの失敗により、ライブビデオブロードキャストやデバイスに組み込まれたマイクでキャプチャされた音声などの機密データがいくつかの国で家庭から流出しました。この問題はソフトウェア エンジニアが偶然発見し、メーカーに報告され、消費者へのリスクを軽減するために 2026 年 2 月にサーバーに修正が実装されました。
この脆弱性は、デバイスとのハードウェア統合テスト中にセキュリティ研究者のサミー・アズドゥファルによって検出されました。ロボットとメーカーのクラウド間のデータ トラフィックを分析した際、専門家は、アクセス資格情報に適切な分離検証が行われていないことに気付きました。これは、単一の有効な認証トークンがあれば、所有者が侵入に気付かずに、同じネットワーク インフラストラクチャに接続されている他の掃除機の通信を傍受できることを意味します。
この事件により、ロボットによってマッピングされた住宅の詳細な間取り図を不正アクセスによって閲覧できるようになったため、ホームオートメーション分野におけるプライバシーに関する懸念が直ちに高まりました。画像や音声に加えて、デバイスからのおおよその地理位置情報やテレメトリ データも流出しました。ドローンおよびロボット市場における中国の大手企業である DJI は、この欠陥の存在を確認し、悪意のある者によって大規模に悪用される前にセキュリティ侵害を解決するために行動しました。
認証の欠陥を技術的に発見
エラーの特定に至るプロセスは、Azdoufal 氏が PlayStation 5 コントローラーを DJI Romo に接続して手動で操作しようとしたときに始まりました。この機器を約 2,000 ドルで購入したエンジニアは、ネットワーク監視ツールを使用して、公式アプリケーションがロボットとどのように通信するかを理解しました。この分析中に、彼は自分のログインによって生成されたセッション トークンを抽出し、サーバー応答の異常に気づきました。
このトークンの制限をテストした際、研究者は、DJI のバックエンド システムが、その特定のアカウントにリンクされたデバイスのみへのアクセスを制限していないことを発見しました。サーバーは、要求者が有効な資格情報形式を持っている限り、会社のグローバル ネットワークに接続されているロボットからのデータ要求に応答しました。この構成上の欠陥により、Azdoufal は他の数千のデバイスからデータ ストリームを受信することができ、アクセス許可管理におけるエラーの深刻さを示しています。
技術分析では、軽量で高速な通信のためにモノのインターネット (IoT) デバイスで広く使用されている MQTT プロトコルの実装に問題があると指摘しました。 DJI のインフラストラクチャにより、ユーザーはグローバル メッセージング スレッドに登録し、他のユーザーからステータス更新やメディアを受信できるようになりました。わずか数分のテストで、個人情報を含む 10 万件以上のメッセージを収集することができ、この脆弱性を悪用するのが容易であることが証明されました。
世界的な影響と暴露されたデータ
障害の範囲は世界的な規模に達し、24 か国に分散している約 7,000 台の DJI Romo ユニットに影響を及ぼしました。侵害されたデバイスの地理的多様性には、北米、ヨーロッパ、アジアのユーザーが含まれており、同社のクラウド インフラストラクチャの範囲が浮き彫りになっています。この展示には技術的なメタデータに限定されず、ロボットが動作する家庭の親密さと物理的なセキュリティを直接侵害する要素も含まれていました。
この侵害を通じてアクセスできた最も重要なデータの中には、ナビゲーション カメラからのビデオ フィードや環境マイクからの音声が含まれていました。 DJI Romo は、LiDAR や光学カメラなどの高度なセンサーを使用して環境の 3 次元マップを作成し、家具、障害物、部屋のレイアウトを識別します。これらのマップにアクセスすると、家の内部を仮想的に再構築でき、ユーザーの家の日常生活やレイアウトに関する詳細な情報が得られます。
デジタルセキュリティの専門家は、この種の暴露により不正なスパイ行為や監視が容易になると警告している。ロボットのセンサーを遠隔から起動できる機能により、デバイスは非自発的な監視ツールに変わります。 DJI は通信が TLS 経由で暗号化されたと主張していますが、サーバー上で厳密な認証チェックが行われていなかったため、この保護が無効になり、認証されているが権限のないユーザーが復号化されたコンテンツを閲覧できるようになりました。
DJIの対応と是正措置
この脆弱性について通知を受けた DJI は、2026 年 1 月末にシステムの内部レビューを開始しました。同社は MQTT ブローカー構成の欠陥を認識し、サーバーに直接適用されるソリューションを開発しました。修正は 2 月 8 日と 10 日の 2 つの主要な段階で実装され、データへのアクセスが各デバイスの正当な所有者に厳密に制限されるようになりました。
更新はサーバー側で実行されるため、ユーザーが新しいファームウェアをダウンロードしたり、ロボット アプリケーションを手動で更新したりする必要がなくなります。 DJI は、ログインしているユーザーの一意識別子に属さないトピックへのサブスクリプションを防止するために、権限ルールを変更しました。同社は、パッチを適用した後、Azdoufal が実証した悪用は不可能になり、追加の監視措置が発動されたことを保証しました。
メーカーは声明の中で、研究者が発見する前にこの欠陥が悪意のあるハッカーによって悪用されたという証拠は見つからなかったと強調した。 DJIはデータセキュリティへの取り組みを改めて表明し、将来同様のことが起こらないよう開発プロトコルを強化することを約束した。対応の速さは好意的に受け止められていましたが、このインシデントにより、クラウド処理に依存するコネクテッド製品のセキュリティに関する議論が再燃しました。
モノのインターネットにおけるセキュリティの課題
DJI Romo の事例は、接続の利便性が堅牢なセキュリティよりも優先されることが多い、モノのインターネット分野が直面している継続的な課題を示しています。家庭用ロボットの世界販売は 2027 年までに年間 2,000 万台を超えると予測されており、企業サーバーを通過する機密データの量は急激に増加しています。人工知能オブジェクト認識などの高度な機能をクラウド サービスに依存すると、厳密に保護する必要がある攻撃ベクトルが発生します。
消費者擁護団体や規制当局は、IoT デバイスのセキュリティ標準の厳格化を推進しています。 DJI で発生したような権限の検証の失敗は、毎年報告される脆弱性のかなりの部分を占めています。多要素認証とデータのセグメンテーションの実装は、接続されたエコシステム、特に家庭内のカメラやマイクに関係するリスクを軽減するための必須の実践として推奨されます。
ヨーロッパの GDPR や他の地域の同様の法律などのデータ保護法は、個人情報の漏洩に対して厳しい罰則を課します。世界市場で事業を展開し、その起源と技術的リーダーシップにより厳しい監視を受けている DJI は、革新をしながらユーザーの信頼を維持するという課題に直面しています。このエピソードは、メーカーに対し、製品の商用発売前に独立したセキュリティ監査とバグ報奨金プログラムを優先するよう警告するものです。
接続デバイス ユーザー向けの推奨事項
DJI の修正は自動的に行われましたが、専門家はスマート デバイスの所有者がデジタル セキュリティに関して積極的な姿勢をとることを推奨しています。ソフトウェアのアップデートを継続的に確認することが、既知の脆弱性に対する防御の第一線となります。制御アプリケーションを常に最新バージョンに保つことで、セキュリティ パッチや機能改善が確実に有効になります。
もう 1 つの重要な対策は、アプリケーションとデバイスに付与される権限の見直しです。カメラとマイクを使用していないとき、または機能が必須ではないときに無効にすると、ハッキングの際の攻撃対象領域を減らすことができます。 IoT デバイスに安全な、可能であればセグメント化された Wi-Fi ネットワークを使用することで、侵害されたデバイスが同じネットワーク上のパーソナル コンピューターやスマートフォンへのゲートウェイとして機能することを防ぎます。
家庭用デバイスによって収集されるデータを認識することが不可欠です。ユーザーは、清掃マップとアクティビティ ログが外部サーバーに保存されることに注意する必要があります。この情報の取り扱いについて透明性を提供し、セキュリティ インシデントに迅速に対応する実績のあるブランドを選択することは、プライバシーを犠牲にすることなく自宅を自動化したいと考えている人にとって賢明な戦略です。
